Podstawowe obowiązki podmiotów kluczowych i ważnych (NIS2)

przez

Po dłuższej przerwie na tematy mniej lub bardziej ciekawe czas powrócić do tematu, przy którym RODO wydaje się nieskomplikowane i bezproblemowe — czyli nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa. Dziś zatem czas na kilka słów o tym jak wyglądają podstawowe obowiązki podmiotów kluczowych i ważnych wynikających z dyrektywy NIS2.

NIS2 obowiązki podmiotów
Ten Parys to jakiś koń trojański NIS2 (fot. Olgierd Rudak, CC BY-SA 4.0)

A mianowicie, w olbrzymim skrócie:

  • wynikające z ustawy implementującej dyrektywę NIS2 obowiązki podmiotów kluczowych i podmiot ważnych otwiera wdrożenie systemu zarządzania bezpieczeństwem informacji w zakresie procesów związanych ze świadczonymi usługami;
  • taki system zarządzania bezpieczeństwem informacji powinien zapewniać:
    • możliwość systematycznego szanowania ryzyka incydentów i zarządzania tym ryzykiem — bo NIS2 to kolejna regulacja, która opiera się na zarządzaniu ryzykiem;
    • wdrożenie odpowiednich — proporcjonalnych do ryzyka, acz uwzględniających m.in. stan wiedzy, koszty wdrożenia, prawdopodobieństwo incydentu — środków technicznych i organizacyjnych: polityki bezpieczeństwa systemu informatycznego i analizy ryzyk, uwzględniania kryterium bezpieczeństwa przy nabywaniu, rozwoju i eksploatacji systemów (prowadzenie testów) oraz bezpieczeństwa łańcuchów dostaw technologii ICT (uwzględniając decyzje w/s dostawców wysokiego ryzyka), zapewnienia odpowiedniej kontroli dostępu i uwierzytelniania dwuskładnikowego użytkowników, edukacji zasobów ludzkich (m.in. w zakresie „cyberhigieny”), prowadzenia planów ciągłości działania i monitoringu systemów, etc., etc.;
  • ciekawostka: odrębny obowiązek corocznych szkoleń dotyczy kierowników podmiotów objętych regulacją NIS2

art. 8e ust. 1 ustawy o krajowym systemie cyberbezpieczeństwa
Kierownik podmiotu kluczowego lub podmiotu ważnego oraz osoba, której powierzono obowiązki kierownika w zakresie cyberbezpieczeństwa, raz w roku kalendarzowym przechodzi szkolenie.

  • przy czym szkolenie to powinno obejmować m.in. kwestie wpisu do wykazu podmiotów kluczowych i ważnych, obowiązków w zakresie wdrożenia i finansowania systemu zarządzania bezpieczeństwem informacji, prowadzenia dokumentacji, a także zgłaszania, obsługi i raportowania incydentów oraz wymogu przedstawienia przez każdą osobę zajmującą się wdrożeniem SZBI lub obsługą incydentów zaświadczenia o niekaralności za przestępstwa przeciwko bezpieczeństwu informacji lub poświadczenia bezpieczeństwa upoważniającego do dostępu do informacji niejawnych o klauzuli „poufne” lub wyższej;
  • (gdzie kierownikiem podmiotu jest każdy członek zarządu lub innego organu zarządzającego, a w spółkach osobowych wspólnicy prowadzący sprawy spółki);
  • gwoli wyjaśnienia: kierownik podmiotu (ściśle rzecz ujmując: każdy członek organu zarządzającego) ponosi „własną” — tj. obok odpowiedzialności samego podmiotu — odpowiedzialność za prawidłowe wdrożenie obowiązków wynikających z regulacji NIS2;

art. 8c ust. 1 ustawy o krajowym systemie cyberbezpieczeństwa
Kierownik podmiotu kluczowego lub podmiotu ważnego ponosi odpowiedzialność za wykonywanie obowiązków w zakresie cyberbezpieczeństwa przez podmiot kluczowy lub podmiot ważny [i tu litania tych obowiązków]

  • a wysokość tej kary może sięgać 300% wysokości otrzymywanego wynagrodzenia (100% w przypadku podmiotów publicznych);
  • nadto ustawa o krajowym systemie cyberbezpieczeństwa nakazuje podmiotom kluczowym i ważnym: (i) zbieranie informacji o cyberzagrożeniach i podatnościach systemów na incydenty, (ii) prawidłowe zarządzanie incydentami, (iii) wdrożenie odpowiednich środków ograniczających wpływ potencjalnych incydentów na bezpieczne funkcjonowanie systemów (poufność, integralność, aktualizacje, etc.);
  • (pewne różnice dotyczą podmiotów publicznych i uczelni wyższych — wymogi ich SZBI szczegółowo określa załącznik do ustawy);
  • natomiast rozporządzenie Rady Ministrów może modyfikować zakres wymagań systemów zarządzania bezpieczeństwem informacji w odniesieniu do różnych branż;
  • obowiązki podmiotów kluczowych i ważnych wynikające z ustawy wdrażającej NIS2 obejmują także wyznaczenie co najmniej dwóch osób odpowiedzialnych za kontakty z krajowym systemem cyberbezpieczeństwa (w tym CSIRT-ami), zapewnienia każdemu użytkownikom dostępu do wiedzy dotyczącej cyberzagrożeń i metod zabezpieczenia się przed ryzykami jak też obowiązek wdrożenia mechanizmu zgłaszania przez użytkowników zagrożeń, podatności i incydentów;
  • (podmioty będące mikro- i małymi przedsiębiorcami oraz podmioty publiczne o statusie „ważny” mogą ograniczyć się do wskazania jednej osoby odpowiedzialnej za „prowadzenie” tematów NIS2);
  • każdy podmiot kluczowy i podmiot ważny ma obowiązek opracowania, stosowania i aktualizacji dokumentacji dotyczącej bezpieczeństwa systemu służącego do świadczenia usługi, na którą składa się m.in. dokumentacja SZBI, dokumentacja ochrony infrastruktury, dokumentacja systemu zarządzania ciągłością działania (te dokumenty muszą być zabezpieczone przed dostępem ze strony osób nieuprawionych);
  • przy czym obowiązki podmiotów wynikające z NIS2 mogą wykonywać wewnętrzne struktury odpowiedzialne za cyberbezpieczeństwo, ale też można je zlecić zewnętrznemu dostawcy usług zarządzanych w zakresie cyberbezpieczeństwa (tj. firmą, która wykonuje lub wspiera w obsłudze incydentów, testów bezpieczeństwa, audytów, doradztwie, etc. — przy czym warto zauważyć, że taki dostawca sam w sobie jest traktowany jako podmiot kluczowy);
  • audyty, audyty: każdy podmiot kluczowy będzie miał obowiązek przeprowadzenia — nie rzadziej niż co 3 lata — audytów bezpieczeństwa wykorzystywanego systemu;

art. 15 ust. 1 ustawy o krajowym systemie cyberbezpieczeństwa
Podmiot kluczowy przeprowadza, na własny koszt, co najmniej raz na 3 lata, audyt bezpieczeństwa systemu informacyjnego wykorzystywanego w procesie świadczenia usługi, zwany dalej „audytem”, licząc od dnia sporządzenia i podpisania przez audytorów przeprowadzających audyt raportu z ostatniego audytu.

  • taki audyt można zlecić wyłącznie jednostce lub osobie posiadającej określone kwalifikacje lub jednemu z CSIRT-ów, przy czym nie może być to osoba, która wykonuje lub wykonywała na rzecz podmiotu w ciągu ostatniego roku określone zadania w zakresie cyberbezpieczeństwa lub wykonywała je w ciągu ostatniego roku;
  • dla rozwiania wątpliwości: podmioty ważne nie mają obowiązku cyklicznego audytowania swych systemów, jednakże w ich przypadku obowiązek przeprowadzenia audytu ad hoc może być nałożony — w przypadku wystąpienia incydentu poważnego lub stwierdzenia naruszenia przepisów ustawy NIS2 — przez organ właściwy d/s cyberbezpieczeństwa;
  • (za nieprzeprowadzanie audytów też są kary — od 20 tys. zł do 10 mln euro lub 2% przychodów);
  • ważne: podmioty kluczowe i podmioty ważne mają 12 miesięcy na dostosowanie systemów i procedur bezpieczeństwa do nowych wymogów;

art. 33 ust. 1-2 ustawy z 23 stycznia 2026 r. o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw (Dz.U. z 2026 r. poz. 252)
1. Podmioty, które z dniem wejścia w życie niniejszej ustawy spełniają przesłanki uznania ich za podmiot kluczowy albo za podmiot ważny, realizują obowiązki określone w rozdziale 3 ustawy zmienianej w art. 1, w brzmieniu nadanym niniejszą ustawą, w terminie 12 miesięcy od dnia wejścia w życie niniejszej ustawy.
2. Podmioty, które z dniem wejścia w życie niniejszej ustawy spełniają przesłanki uznania ich za podmiot kluczowy przeprowadzają pierwszy audyt, o którym mowa w art. 15 ust. 1 ustawy zmienianej w art. 1, w brzmieniu nadanym niniejszą ustawą, w terminie 24 miesięcy od dnia wejścia w życie niniejszej ustawy.

    • natomiast podmioty, które spełniają przesłanki uznania za kluczowe, mają obowiązek przeprowadzenia pierwszego audytu w terminie 24 miesięcy od dnia wejścia w życie nowelizacji ustawy implementującej dyrektywę NIS2.

    Dla przypomnienia: ten kalendarz już leci, ponieważ nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa weszła w życie 3 kwietnia 2026 r.

    subskrybuj
    Powiadom o
    guest

    Ta strona używa Akismet do redukcji spamu. Dowiedz się, w jaki sposób przetwarzane są dane Twoich komentarzy.

    0 komentarzy
    Oldest
    Newest
    Inline Feedbacks
    zerknij na wszystkie komentarze
    0
    komentarze są tam :-)x